Масштабна кампанія шкідливого програмного забезпечення спеціально спрямована на гравців Minecraft за допомогою шкідливих модів та чітів, які заражають пристрої Windows інфо-викрадачами, що крадуть облікові дані, токени автентифікації та криптовалютні гаманці. Кампанія, виявлена ​​Check Point Research, проводиться мережею Stargazers Ghost Network та використовує масивну екосистему моддингу Minecraft і легітимні сервіси, такі як GitHub, для охоплення широкої аудиторії потенційних цілей. Check Point зафіксував тисячі переглядів або звернень до посилань Pastebin, які використовувалися зловмисниками для доставки корисних навантажень на пристрої цілей, що свідчить про широкий охоплення цієї кампанії. Приховане шкідливе програмне забезпечення Minecraft Мережа Stargazers Ghost Network — це операція розповсюдження як послуга (DaaS), яка активна на GitHub з минулого року, вперше задокументована Check Point у кампанії, в якій взяли участь 3000 облікових записів, що поширюють інфо-викрадення. Та сама операція, яка підтримується фальшивими зірками GitHub, була зафіксована під час зараження понад 17 000 систем наприкінці 2024 року новим шкідливим програмним забезпеченням на базі Godot. Остання кампанія, описана дослідниками Check Point Яроміром Горейшим та Антонісом Терефосом, спрямована на Minecraft за допомогою шкідливого програмного забезпечення Java, яке уникає виявлення всіма антивірусними механізмами. Дослідники виявили кілька репозиторіїв GitHub, якими керує Stargazers, замаскованих під моди та чіти Minecraft, такі як Skyblock Extras, Polar Client, FunnyMap, Oringo та Taunahi. «Ми виявили приблизно 500 репозиторіїв GitHub, включаючи ті, що були форковані або скопійовані, які були частиною цієї операції, спрямованої на гравців Minecraft», – сказав Антоніс Терефос BleepingComputer. «Ми також бачили 700 зірок, створених приблизно 70 обліковими записами». Після виконання в Minecraft, завантажувач JAR першого етапу завантажує наступний етап з Pastebin, використовуючи URL-адресу, закодовану в base64, та отримує викрадач на основі Java. Цей викрадач атакує токени облікового запису Minecraft та дані користувачів із лаунчера Minecraft та популярних сторонніх лаунчерів, таких як Feather, Lunar та Essential.  Він також намагається викрасти токени облікових записів Discord та Telegram, надсилаючи викрадені дані через HTTP POST-запити на сервер зловмисника. Викрадач Java також служить завантажувачем для наступного етапу — викрадача на основі .NET під назвою «44 CALIBER», який є більш «традиційним» викрадачем інформації та намагається викрасти інформацію, що зберігається у веббраузерах, даних облікових записів VPN, криптовалютних гаманцях, Steam, Discord та інших додатках. Огляд ланцюга зараження 44 CALIBER також збирає системну інформацію та дані буфера обміну, а також може робити скріншоти комп’ютера жертви. «Після деобфускації ми можемо спостерігати, що він краде різні облікові дані з браузерів (Chromium, Edge, Firefox), файлів (Desktop, Documents, %USERPROFILE%/Source), криптовалютних гаманців (Armory, AtomicWallet, BitcoinCore, Bytecoin, DashCore, Electrum, Ethereum, LitecoinCore, Monero, Exodus, Zcash, Jaxx), VPN (ProtonVPN, OpenVPN, NordVPN), Steam, Discord, FileZilla, Telegram», – попереджають дослідники. Викрадені дані витягуються через вебхуки Discord разом із російськими коментарями. Ця підказка, у поєднанні з часовими позначками комітів UTC+3, свідчить про те, що операторами цієї кампанії є росіяни. Check Point опублікував повний перелік індикаторів компрометації (IoC) у нижній частині свого звіту, щоб допомогти виявити та заблокувати загрозу. Щоб уникнути цієї та подібних кампаній, гравцям Microsoft слід завантажувати моди лише з авторитетних платформ та перевірених порталів спільноти, а також дотримуватися послуг перевірених видавців. Якщо буде запропоновано завантажити з GitHub, перевірте кількість запущених процесів, форків та учасників, ретельно перевірте коміти на наявність ознак фальшивої активності та перевірте останні дії в репозиторії. Зрештою, доцільно використовувати окремий обліковий запис Minecraft “burner” під час тестування модів та уникати входу в основний обліковий запис. Джерело